近年来，随着我国信息化建设的日益发展，企业办公已经离不开电子文档的广泛使用。电子文档不仅是企业内部信息资源的主要存储方式，也是企业内外进行商业合作时信息交流的重要载体。然而，在企业员工正常使用这些文件的过程中，往往存在着重要文档或资料内容泄密扩散的安全隐患，这些很可能会给企业带来巨大经济损失和其他不良后果。因此，如何利用安全技术手段来防范企业电子文档信息泄密，已经成为一个十分重要的信息安全问题。

所幸的是，市场上已经有一些专业的信息安全服务企业，提供了较为成熟的电子文档防扩散产品方案。本文研究的重点是如何在这些企业电子文档防扩散产品技术中进行合理选取并实施应用部署，从而有力保障企业数据信息安全。

根据国家相关标准和法规，及企业自身对数据信息安全的需求，企业电子文档必须做好安全保护工作。常见的电子文档安全问题主要有下面几种：恶意攻击、身份冒充、窃听破解、权限溢出、资料泄露等。此外，很多企业相应的信息保密制度不够完善，文档防扩散的技术条件落后，在监管上存在着困难；或是对于员工文档管理方法不当、责任无法落实到位、相关人员法制观念淡薄等等，这些问题都会给文档防扩散工作带来极大的困难和挑战。

企业电子文档防扩散安全管理现状

企业电子文档防扩散安全管理的主要对象是企业内部员工在本单位工作场景中所使用的所有计算机和存储设备上的各类电子文档。企业电子文档的安全管理，所需的工作较为复杂，单一的防护措施往往存在着较大风险，需要采用多元化的技术手段进行管理。

目前，国内外企业电子文档防扩散及相关信息安全管理主要采用以下措施：

首先，对外部网络入侵进行防范，使用防病毒、防火墙、反间谍和入侵检测技术防范外部攻击，内外网间网络和数据端口物理隔离，访问权限控制和移动存储介质管理。

其次，内部文档信息存储和传输前，需要采用适当的加密算法对信息进行加密和签名，确保信息的安全性、完整性和身份认证的不可否认性，包括服务器文件落地加密，本地文件透明加解密和手动加密等方式。公司的重要文件、重要技术成果资源等内容，都需要定制不同的读写权限策略和划分密级进行保护。

然后，设置内部文件访问权限和审批制度，进行授权访问控制。分部门、人员和密级进行管理，对于不同职能的员工设置不同访问权限，当员工需要访问信息资源前对其身份进行合法验证，文件外带则需通过单级或多级审批流程进行授权。

此外，企业应实行日志报表审计制度，对服务器授权审批和日常管理等事件行为，以及客户端设备电子文档加解密，阅读、编辑和外发的详细内容进行记录并形成归档日志，方便管理员进行查询和分析泄密漏洞，保障企业电子文档信息安全。

产品核心功能和技术手段分析

企业自身直接进行电子文档防扩散安全管理困难较大，效果并不理想。通常应采用市场上相对成熟的集成方案进行部署管理。目前，许多专业的信息安全产品公司提供的企业电子文档安全产品已经逐步成熟完善，它们可以对企业电子文档资料进行加密密级保护，实现用户身份和文档权限控制、终端管控、离线外带审批、禁止非法拷贝等功能，较为全面的涵盖企业的文档防扩散管理需要。

这些公司对大型企业和生产单位服务较多，功能齐全，拥有完备的国家权威机构的资质认证，且均采用了内核文件驱动层的加密技术，安全保障性高。它们的产品虽然在一些细节上各具特色，但主要功能是基本类似的，因此在企业选取防扩散产品时，这些功能具有一定的对比性。

1.角色权限和密级管理

企业电子文档防扩散软件主要通过对用户按部门划分角色和分配密级权限来进行文档扩散管理。对不同的领导和员工按角色赋予文档密级权限。

对不同部门可以设置默认角色的文档访问权限并下发策略。这样，分别属于不同部门的不同人员角色在本部门的权限基础上，能够拥有一个或多个其他部门的阅读和编辑权限，但是无法访问权限外指定的文档内容，从而在内部文件交流时实现细粒度的访问控制。在对人力资源、财务、商业机密、科学技术成果等内容进行分类保护的同时，又不影响人员正常活动。这一点通常是防泄密产品的技术难点，很多产品在权限和密级细分化的管理上不尽如人意，自身的密级管理策略存在很多冲突问题，因此往往需要严格测试检验这部分功能的正确性和稳定性。

2.定制策略模板

企业制定文档防扩散管理方案，通常需要预先配置好安全策略模板，主要包括配置企业人员角色身份和所属密级、部门基本文档加密规则、文档离线外带审批流程、日志记录等策略模板。

3.客户端管理

客户端管理主要是需要对接入内部网络的员工客户端机器和移动存储设备进行防扩散权限管理。文档管理可以使用指定磁盘加密技术，划分加密目录和解密目录，加密目录能够对所有移入的文件和文件夹自动加密，解密目录可以自动完成解密，便于对服务器共享目录进行管理。需要外发给客户的文件，可加密成可执行文件发送到客户电脑上，并设定好读写的权限和次数，能够正常的在非涉密环境运行。移动存储管理要求注册移动设备，限制内部和外部使用规则，对设备上文件的创建、读取、写入、重命名、删除等操作权限进行限制。

4.离线外发审批流程管理

在企业电子文档防扩散安全产品的应用场景中，除了要对内网设备进行管控外，还需要处理好脱离内网环境的设备工作问题。因此，对于员工下班后和出差时电脑可设定离线策略。

在离线过期后，设备对加密文档不再拥有读写权限。但是仍可以向管理员申请续期。此外，审批可以针对企业内具体管理情况，定制多个彼此独立的单级审批和多级审批流程，每级可设置参与审批的人数，满足企业的实际组织架构需求。

5.日志报表管理

文档防扩散产品在使用过程中会完整地记录管理操作和申请事件，产生日志报表。对于产生的日志报表，企业往往需要进行归档和分析。管理员可以通过查询日志来监督用户行为，并对泄密事件进行跟踪追溯。报表的数据统计部分可以查看注册的所有主机状态和各类审批事件的状态。

企业部署实施方案

1.测试和部署

在进行测试和部署前，首先需要进行企业安装环境调查，分别进行单点功能测试，机型适配和操作系统兼容性测试。在企业内部的某一个子部门投入试用，进行局部稳定性测试。在上述工作较为完善后，在全单位实行渐进式部署，先通过域控等方法全面安装客户端，再将控制规则和策略功能逐步添加，过程中需要反复沟通修改和调试方案，最后完成成熟的部署效果。

步骤一：对企业软件部署环境进行摸底调查研究，对企业网络拓扑结构、人员组织架构和层级关系加以了解，对内部数据交互情况、员工常用的软件插件，杀毒软件和设计软件使用情况等进行统计分析，将可能存在冲突的软件加入到兼容性测试计划中。此步骤主要为以后公司大规模的部署做基础准备，熟悉企业环境，以便制定具体部署实施方案。

步骤二：整理好企业的核心功能需求，根据需求逐条对各家防扩散软件进行彼此独立的功能测试。这一步主要在测试机上和虚拟机系统环境模拟运行，需要搭建一个简易的模拟应用环境，在被测机器上安装公司内部常用的功能性软件，然后测试时对防扩散产品的使用情况进行记录和反馈。

步骤三：选取某一个子部门对所有功能试点运行，测试部门之间文件传递效率是否受到影响，测试用户人员之间交互，以及离线外发的审批过程。

步骤四：域控同步预安装控制，在公司各部门中全部安装文档防扩散系统，在此安装过程中主要需要采用域推送的方式静默安装，在用户入网验证检测时捎带部署。观察服务器的运行稳定情况，客户端是否出现异常，通讯和加解密授权等功能能否完成。

步骤五：渐进式部署。逐步下发策略，下发控制策略对公司中的电脑下发控制策略，并观察控制策略使用情况。对公司内所有电脑逐步增加不同格式的下发加密策略，该阶段为整个部署方案的核心部分，要保证客户端加密解密策略生效后整个系统必须稳定、正常的运行。

步骤六：运维管理。这一部分需长期维护软件系统，并对软件效果进行评估，对相关管理人员和普通员工进行培训。一个大中型企业通常由多个功能相互独立的职能部门和子公司组成，部门之间存在着大量信息交互，难以确定该如何划分密级权限进行管理。员工难以习惯和掌握加密环境的使用，必须逐步培养和改变用户的文档使用习惯，帮助他们树立数据安全防护意识。

2.性能评估

企业电子文档防扩散软件部署完成后，需要对其性能进行评估，主要包括稳定性、安全性、扩展和兼容性，运行速度影响几个方面。

稳定性，包括服务器和客户端运行稳定；控制台显示客户端电脑信息；加密解密是否正常；不同用户多次下发时加解密策略是否和策略设置内容相同；系统容灾设置；网络故障异常时默认短期离线策略可以保证终端继续查看加密文档。

安全性，要求保证电子文档的保密性、完整性和可用性；防止内容被破坏、更改和泄露；保证办公和应用系统数据的存储和使用安全，终端数据的离线策略的安全性，移动设备和存储介质的数据安全。

响应速度，主要需要观察控制台下发策略和申请消息内容是否能够及时推送，分发不同软件的加密策略是否能即时生效等等。

总结

企业文档防扩散产品应用部署需要全面考虑加密文档面临的各种主动和被动扩散风险；同时，应尽量避免对系统资源的消耗和对内部人员正常工作的影响，在安全和效率之间保持平衡。对于企业信息安全维护人员，不仅需要加强自身业务培训学习，还应深入了解本单位的实际环境和电子文档防护需求，合理选择产品，并制定好安全防护策略和规章制度，在部署实施的各个阶段不断完善，以保证电子文档防扩散工作有效落实。